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LUNDBECK 


KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ 
POLİTİKASI 


(“POLİTİKA”) 


GİRİŞ 
İşbu Politika, Lundbeck Türkiye tarafından kişisel verilerin korunması ve hukuka uygun 


işlenmesi için benimsenecek ve içselleştirilecek süreç ve prosedürleri ifade etmektedir. 


İşbu Politika”nın amacı, kişisel verilerin güvenliği ve korunması hususunda gerekli teknik ve 
idari önlemleri alarak, kişisel verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu”na 
(“KVKK” veya “Kanun”) uyumlu olarak işlenmesinin ve tutulmasının içselleştirilmesi ve 


çalışanlar ve tüm iş ortaklarında gerekli farkındalığın yaratılarak Kanun”a uyum sağlanmasıdır. 


İşbu Politika, Lundbeck tarafından tutulan ve çalışanlarına, müşterilerine, tedarikçilerine ve 
diğer tüm bireylere ait kişisel verilerin hukuka uygun bir biçimde işlendiğinden, Kanun ve buna 
ait değişiklikler kapsamında öngörülen gereklilikler de dahil olmak üzere, ilgili tüm yasal 
gerekliliklere uyulduğundan ve Lundbeck iç prosedürlerinin dürüstlük kurallarına ve hukuka 
uygunluğu sağlamak için periyodik olarak denetlendiğinden emin olmak için gerekli tüm 


adımların atılması amacıyla hazırlanmıştır. 


Lundbeck Türkiye 


TANIMLAR 


Veri: Elektronik olarak bilgisayarda ya da bir takım kağit bazlı dosyalama sistemlerinde 


saklanan bilgileri ifade etmektedir. 


Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade 
etmektedir. 


Özel Nitelikli/ Hassas Kişisel Veri: Irka, etnik kökene, siyasi düşüncelere, felsefi inanca, dine, 
mezhebe veya diğer inançlara, kılık ve kıyafete, dernek, vakıf ya da sendika üyeliklerine, 
sağlığa, cinsel hayata, ceza mahkümiyeti ve güvenlik tedbirlerine ve biyometrik verilere ilişkin 
verileri ifade etmektedir. Hassas veriler sadece sıkı şartlar altında işlenebilirler ve işlenmesi 


genellikle veri sahibinin açık rızasını gerektirmektedir. 


Veri İlgilisi veya Sahipleri: Kişisel Verileri Lundbeck tarafından işlenen çalışanlar dahil tüm 
gerçek kişileri kapsamaktadır. Veri sahibi Türk vatandaşı olmak ya da Türkiye”de ikamet etmek 


zorunda değildir. Tüm veri sahipleri, kendi kişisel verilerine ilişkin yasal haklara sahiptir. 


Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt 
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade 
etmektedir. Bu kişilerin, Kanun”a uygun olarak uygulamalar ve ilkeler belirlemek yönünde 
sorumlulukları vardır. Lundbeck”in iş süreçlerinde kullanılan tüm kişisel verilere ilişkin veri 


sorumlusu Lundbeck olacaktır. 


Veri İşleyen: Bir veri sorumlusu tarafından verilen yetkiye dayanarak ve onun adına veri 
işleyen herhangi bir kişidir. Veri sorumlusunun çalışanlar bu tanımın dışındadır, ancak 
uygulanabilir olması halinde, Lundbeck adına kişisel veri işleyen tedarikçiler, iş ortakları ve 


diğer üçüncü kişiler bu tanıma dahil edilebilir. 


Veri İşleme/ İşleme: Veri kullanımına ilişkin her türlü aktiviteyi kapsamaktadır. Verinin elde 
edilmesi, kaydedilmesi ya da tutulmasını, ya da veriyi düzenlenme, değiştirme, geri alma, 
kullanma, açıklama, silme ya da yok etme de dahil olmak üzere veri üzerinde yürütülen bir 
veya bir takım işlemleri içerir. Verinin üçüncü kişilere aktarılması da verinin işlenmesi anlamına 


gelmektedir. 


Sağlık Mesleği Mensubu (SMM): Hekim, diş hekimi, eczacı, hemşire, ebe ve 11/4/1928 tarihli 
ve 1219 sayılı Tababet ve Şuabatı San.atlarının Tarzı İcrasına Dair Kanunun Ek 13 üncü 


maddesinde tanımlanan diğer meslek mensuplarıdır. 


A. POLİTİKANIN AMACI 


İşbu Politika ile Lundbeck tarafından Kanun”a uyum için gerekli düzenlemelerin 
benimsenmesinin sağlanması, uygulanacak politikaların düzenlenmesi ve iştirakler arasında 
bir birliğin oluşturulmasıdır. Bu bağlamda Politika, Kanun ve ilgili mevzuat tarafından konulan 
kuralların Lundbeck tarafından nasıl uygulandığına / uygulayacağına ilişkin temel ve tüm iş 


birimleri için geçerli kurallar ve ilkelerin belirlenmesini amaç edinmektedir. 


Lundbeck tüm iç süreçlerini Politika”ya uygun hale getirecektir. Politika”ya uyum için gerekli 
düzenlemeleri yapacak ve belirli aralıklara Politikayya uyum konusunda, denetim 
mekanizmalarını işleterek Politika”yya uyumun devamlılığını sağlayacaklardır. Tüm 
çalışanlarının Politika”ya uyumunu teyit edecek ve değişiklikler hakkında tüm iİlgililerin 
bilgilendirilmesini temin edecektir. Değişen ve yenilenen süreçlere, en kısa sürede uyum 
gösterilmesi için şirket içi eğitimler düzenlenecek ve tüm çalışanlar nezdinde tüm sürecin 


Kanun"a uygun yürütülmesinden sorumlu olacaktır. 


B. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER 


Lundbeck bakımından önem arz eden hususlardan biri, Kişisel Verilerin Kanun ve ilgili 
mevzuatta öngörülen genel ilkelere uygun olarak işlenmesidir. Bu kapsamda, Lundbeck 


tarafından Kişisel Veriler, 


a) Hukuka ve iyi niyete uygun olarak işlenmelidir: 


- Bu ilkenin amacı Kişisel Verinin işlenmesi önlemek değil, Kişisel Verilerin 
işlenmesinin dürüstlük kurallarına ve hukuka uygun, Veri İlgisinin haklarını 


olumsuz şekilde etkilemeyecek şekilde yapıldığından emin olmaktır. 


- Veri Sahibine, Veri Sorumlusunun kim olduğu, verinin Lundbeck tarafından hangi 
amaçla işleneceği, verinin açıklanabileceği veya aktarılabileceği kişilerin kimliği ve 


bu veri sahibinin hakları söylenmelidir. 


- HKişisel Verinin hukuka uygun olarak işlenebilmesi için bir takım şartların 
sağlanması gerekir. Bunlar, diğerlerinin yanı sıra, Veri Sahibinin Kişisel Verilerinin 
işlenmesine rıza göstermiş olması ya da işlemenin Veri Sorumlusunun veya 
verinin açıklandığı üçüncü kişinin meşru menfaati kapsamında gerekli olması gibi 
gereklilikleri içerebilir. Bazı durumlarda Veri Sahibinin ilgili verinin işlenmesine 


ilişkin açık onay vermesi gerekebilir. 


- Kişisel Veriler, Veri Sahibinin açık rızası halinde İşleme hariç olarak, ancak 
işlemenin kanunlarda açıkça öngörülmüş olması, fili imkansızlık nedeniyle 


rızasını açıklayamayacak durumunda bulunan veya rızasına hukuki geçerlilik 


4 


tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden 
bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya 
ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel 
verilerin işlenmesinin gerekli olması, işlemenin veri sorumlusunun hukuki 
yükümlülüğünü yerine getirebilmesi için zorunlu olması, işlenen verinin ilgili kişinin 
kendisi tarafından alenileştirilmiş olması, işlemenin bir hakkın tesisi, kullanılması 
veya korunması için zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar 
vermemek kaydıyla, işlemenin veri sorumlusunun meşru menfaatleri için zorunlu 
olması hallerinden birinin varlığı halinde işlenecektir. Ancak Kişisel Verilerin 
işlenmesine ilişkin burada sınırlı olarak sayılan istisnalar kapsamında işlenen 
verilerin Veri İlgililer dahiline, Kanun”un 16. Maddesi uyarınca öngörülen 
Aydınlatma Yükümlülüğü”ü kapsayacak şekilde bilgilendirme yapılacak, söz 
konusu bilgilendirme ile Kişisel Verilerin Lundbeck tarafından işbu Politika 
uyarınca işlendiği konusunda bilgi verilecek ve verilerin Kanun, ilgili mevzuat ve 


işbu Politika”ya uygun olarak işlendiği teyit edilecektir. 


Lundbeck, bu çerçevede, Kanun"daki düzenlemelere uyum için gerekli süreçleri 


oluşturacaktır. 


b) Belirli, açık ve meşru amaçlar için işlenmelidir: 


Kişisel Veri, verinin ilk toplandığı sırada Veri Sahibine bildirilen belirli amaçlar 
çerçevesinde ya da Kanun tarafından özellikle izin verilen herhangi başka bir 
amaçla işlenebilir. Bu, Kişisel Verinin belirli bir amaç için toplanıp, sonradan başka 
bir amaç için kullanılamayacağı anlamına gelir. Eğer Kişisel Verinin işlenme 
amacının değiştirilmesi zorunlu hale gelirse, Kişisel Veri işlenmeden önce veri 


sahibinin söz konusu yeni işleme amacından haberdar edilmesi gerekir. 


c) Sınırlı, ölçülü ve amaç için gerekli şekilde işlenmelidir: 


Kişisel veri, sadece Veri Sahibine bildirilen belirli amacın gerektirdiği ölçüde 
toplanmalıdır. Bu amaç için gerekli olmayan herhangi bir verinin toplanmaması 
gerekir. Tüm çalışanlar gerekli olmayan kişisel verileri almaktan kaçınmalıdır. 
Tedarikçilerle/üçüncü kişilerle imzalanan sözleşmeler de bu kuralı yürürlüğe 


koyan mekanizmalar içermelidir. 


d) Doğru ve gerektiğinde güncel olmalıdır: 


Veri Sahiplerinin verilerini güncellemeleri için olanaklar tanınmalı ve bu olanaklar 
konusunda Veri Sahipleri bilgilendirilmelidir. Kişisel verilerin alınması sırasında, 
güncelleme süreçlerine ilişkin Veri Sahiplerine bilgi verilmelidir. Çalışanlar 


tarafından da belirli aralıklarla verilerin güncelliği teyit edilmeli ve güncel olmayan 
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e) 


) 


g) 


h) 


veya güncel olarak işlenmesinde yarar görülmeyen tüm veriler, güncellenme 


imkanı söz konusu değil ise silinmeli ya da anonim hale getirilmelidir. 


İlgili mevzuat uyarın öngörülmüş süreden ya da veri toplama amacının zorunlu 
kıldığı süreden fazla tutulmamalı / saklanmamalı ve arşivlenmemelidir: 


- Kişisel Veri, amacın gerektirdiğinden daha uzun süre tutulmamalıdır. Başka bir 
deyişle, kişisel verilerin işlenmesi artık gerekli olmadığında veya ihtiyaç 
kalmadığında, kişisel veriler yok edilmeli ya da şirket sistemlerinden silinmelidir 
veya anonim hale getirilmelidir. Kişisel Verinin gelecekte kullanılması 


gerekebileceği varsayımı ile saklanmaması ve arşivlenmemersi gerekmektedir. 
- Her bir iş birimi, farklı türdeki Kişisel Verilerin işlenmesi için gerekli süreyi 
değerlendirmeli ve gerekli sürenin ne kadar olduğunu yazılı şekilde belirlemelidir. 


Bu süre, işlemenin amacı gereğince iş biriminin veriyi tutmasını gerektiren süreyi 


aşmamalıdır. 
- Kişisel Verilerin saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesine 
ilişkin politikalara ilişkin (F) başlığına bakınız. 
Veri Sahibinin haklarıyla uyumlu olarak işlenmelidir: 
- Veri Sahibini haklarına ve hukuki başvuru yollarına ilişkin (C) başlığına bakınız. 
Güvende tutulmalıdır: 


- Veri Güvenliğine ilişkin Lundbeck politikalarının detaylarına ilişkin (D) başlığına 


bakınız. 


Yeterli korumaya sahip olmayan iülkelerde bulunan kişilere ya da 
organizasyonlara aktarılmamalıdır: 


-  Lundbectk tarafından Kişisel Veriler, verilerin yurt dışında merkezi kayıt sisteminin 
bulunduğu serverlarda saklanmak üzere Danimarka”ya aktarılmaktadır. Söz 
konusu aktarım KVKK hükümlerine uygun şekilde ve Kişisel Verileri Koruma 
Kurulunun (“Kurul”) belirleyeceği kurallar çerçevesinde yurt diışına 
gerçekleşmektedir. 


- HKişisel Verilerin üçüncü kişilere aktarımına ilişkin (E) başlığına bakınız. 


C. KİŞİSEL VERİ SAHİBİNİN HAKLARI 


Kişisel Veri Sahipleri, Kanun”un 11. Maddesinde düzenlenen, 


Kişisel Verisinin işlenip işlenmediğini öğrenme, 


İİ. Kişisel Veri işlenmişse, buna ilişkin bilgi talep etme, 


ili. Kişisel Veri işleme amacını ve verilerin amaca uygun kullanılıp kullanılmadığını 


öğrenme, 
İV. Kişisel Verilerin aktarıldığı üçüncü kişileri Öğrenme ve 
V. Kişisel Veriler eksik ya da yanlış işlenmişse bunların düzeltilmesini isteme ve 


bunun Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme 


hakları ile 


Vİ. Kişisel Verilerin Kanun”a aykırı işlenmesi sebebiyle zarara uğranması 


durumunda tazminat talep etme haklarını 


haiz olup Lundbeck tarafından Veri Sahibinin talebi üzerine bu hakların yerine getirilmesi 
konusunda en kısa süre içerisinde aksiyon alınacak ve Veri Sahibine taleplerine ilişkin 


prosedür ile ilgili detaylı bilgi verilecektir. 


D. KİŞİSEL VERİLERİN GÜVENLİĞİ 


Lundbeck, hukuka aykırı ya da yetkisiz Kişisel Veri işlenmesine veya Kişisel Verinin bir kaza 
sonucu kaybı ya da zarar görmesine karşı uygun güvenlik önlemlerinin alındığından emin 
olmalıdır. Bu tür zararlara uğramaları durumunda Veri Sahipleri, dava yolu ile tazminat 


talebinde bulunabilecektir. 


Kanun, Kişisel Verilerin toplanma anından yok edilme anına kadar güvenliğinin sağlanabilmesi 


için, Lundbeck”in bir takım idari ve teknik önlemler almasını zorunlu kılmaktadır. 


Veri güvenliğinin sağlanması, aşağıda tanımlandığı üzere, kişisel verinin gizliliğinin, 


bütünlüğünün ve erişiminin garanti altına alınması anlamına gelmektedir. 


İ. Gizlilik, sadece veriyi kullanmaya yetkili kişilerin veriye erişmesi anlamına 
gelmektedir. 


İİ. Bütünlük, kişisel verinin doğru olması ve işlenme amacına uygun olması anlamına 


gelmektedir. 


İli. Erişim, yetkili kullanıcıların, yetkilendirilmiş oldukları amaç çerçevesinde ihtiyaç 


duymaları halinde, veriye erişebilmeleri anlamına gelmektedir. 


Kişisel Verilere ilişkin güvenlik prosedürleri, veri güvenliğine ilişkin teknik anlamda yetkin 
Lundbeck bünyesindeki Bilişim Teknoloiileri (“BT”,“IT”) birimine danışılarak yürürlüğe 
konacaktır. Lundbeckrin halihazırdaki uygulamalarına uyumlu olarak her bir iş biriminin erişim 


yetkileri, ilgili iş birimi bakımından gerektiği ölçüde sınırlandırılacaktır. İlgili sınırlandırmalar, 


Lundbeck nezdinde halihazırda uygulanmaktadır ve bu sınırlandırmalar düzenli aralıklarla 
gözden geçirilecek ve Kişisel Verilere erişim yalnızca zorunlu olduğu ölçüde söz konusu 
olabilecektir. 


Tüm çalışanları, veri güvenliğine ilişkin belirlenecek prosedürler çerçevesinde bilgilendirilecek 
ve eğitilecektir. Bu kapsamda, kişisel Verilere erişmek üzerine şifre ile giriş yapılan sistemlere 
ilişkin şifreler, herhangi bir üçüncü kişiye veya yetkisiz çalışana açıklanmayacaktır. Kişisel 
Verilere erişme yetkisi verilen kullanıcılar, uygulanabilir olması durumunda, bireysel 
ekranlarının yakınından geçenlere gizli bilgilerin gösterilmediğinden ve ekranlarının başında 


olmadiıkları zaman bilgisayar oturumlarını kapattıklarından emin olacaktır. 


Şirket nezdinde tutulan Kişisel Veriler dahil tüm verilerin güvenliği için gereken teknik önlemler 
halihazırda alınmakta olup Lundbeck tarafından mevcut güvenlik sistemleri, virüs koruma 
programları ve ileti gönderilerine ilişkin koruma sistemleri periyodik olarak denetlenecek ve tüm 
bu sistemlerin en güncel sürümleri yürürlüğe konulacaktır. Bu konuda, teknolofik gelişmeler 
takip edilecek ve ortaya çıkabilecek risklere en kısa sürede müdahale edecek teknik ekip ve 
sistem tahsis edilecektir. 


Yukarıdakilere ek olarak, tüm çalışanları işlenen Kişisel Verilerin kanuni olmayan yollarla 
başkaları tarafından elde edilmesi ve/veya Kişisel Verilerin güvenliğine ilişkin herhangi bir 
riskin söz konusu olması halinde en geç 2 (iki) iş günü içerisinde, gereken önlemlerin 
koordinasyonu ve uygulanahbilir olması halinde bu durumun en kısa sürede ilgili Veri Sahibine 
ve Kurula bildirilmesi için turkey(ölundbeck.com”a veya İnsan Kaynakları Müdürü”ne mail 
atarak bilgi verecektir. 


E. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI 


Kişisel Verilerin yurtiçindeki üçüncü kişilere aktarılabilmesi, Kişisel Verilerin işlenme amaçları 
ile Veri Sahipleri ile akdedilen sözleşmelerin ifası için zorunlu olması ve Şirketin meşru 
menfaatleri gerektirdiği ölçüde (Kanun”un öngördüğü şartlara uygun olarak 
gerçekleştirilmektedir. Kişisel Verilerin işlenme amaçları dışında başka bir amaçla veri aktarımı 
yapılmamaktadır. Lundbeck, iş ortaklarının seçiminde kişisel verilerin gizliliğine ilişkin 
hususlarda ön inceleme yapacak ve onlarla yapacağı sözleşmelerde Kişisel Verilerin güvenliği 
ve gizliliğine ilişkin Kanun”un gerekliliklerini tatmin edecek hükümlere yer verilmesini 


sağlayacaktır. 


Uygulanabilir olması halinde, Kişisel Verilerin hukuka uygun olarak aktarıldığı mevcut üçüncü 
kişiler ile yapılan sözleşmeler, halihazırdaki gizlilik yükümlülüklerine ek olarak, Kişisel Verilerin 
aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağını 


ve kendi işletmelerinde / kurumlarında / kuruluşlarında bu tedbirlere uyulmasını sağlayacağını 
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temin etmek üzere değiştirilmektedir. Verilerin gizliliği, bütünlüğü ve erişimine ilişkin Kanun”un 


gerekliliklerini yerine getirmeyen üçüncü kişilere hiçbir surette Kişisel Veri aktarılmayacaktır. 
Veri işlemcisi olarak Lundbeck 


Bir iş ortağının (tipik olarak başka bir ilaç şirketinin) tıbbi bilgi sorumluluğuna veya advers olay 
taleplerini ele alma sorumluluğuna sahip olduğu durumlarda, Lundbeck talebinizi ve burada 
yer alan kişisel verileri, sorgunuzu ele almaları için doğrudan ilgili iş ortağıyla paylaşacaktır. 
Böyle bir durumda Lundbeck, verilerinizi ilgili iş ortağının talimatlarına göre paylaşır ve 


sorunuza veya endişenize yanıt vermek için doğrudan size ulaşacaktır. 


F. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI: 


Kişisel Veriler, merkezi kayıt sistemlerinin bulunduğu serverlara aktarılmakta ve 
halihazırda serverlar Danimarka ve Polonya”da bulunmaktadır. Global bir şirket olarak 
Lundbeck bünyesindeki kişisel verileri işin gereği ve meşru menfaatleri doğrultusunda 
KVKK”ya uygun olarak yurt dışındaki grup şirketlerine aktarabilmektedir. Her halde, veriler 
Kurul”un belirleyeceği yeterli korumanın bulunduğu ülkelerden dışında bir ülkeye 
aktarılmayacaktır ve yurt dışına veri aktarımında KVKK”nın getirdiği tüm yükümlülüklere 


uyum sağlanmaktadır. 


G. İŞLENEN KİŞİSEL VERİLER VE SAKLAMA PROSEDÜRLERİ 


Lundbeck, Kanun”a uygun şekilde, işlenmesini gerektiren sebeplerin ortadan kalkması 
halinde, ilgili kanun ve mevzuatta öngörülen asgari saklama sürelerine riayet etmek koşulu 
ile Kişisel Verileri re”sen veya ilgili kişinin talebi üzerine veri sorumlusu silecek, yok edecek 
veya anonim hale getirecektir. Kişisel Verilerin, silinmesi, yok edilmesi ve anonim hale 
getirilmesi için asgari süreler, ilgili Kişisel Veriyi işleyen iş birimi tarafından belirlenecek ve 


tüm sistemler, bu süreçlere uygun hale getirilecektir. 


İlgili kanun ve mevzuat uyarınca saklanması için asgari sürelerin söz konusu olduğu 
verilere ilişkin bu sürelerin geçmesinden önce Veri İlgililerinden gelecek silme, yok etme 
veya anonim hale getirmeye ilişkin talepler, ilgili yasal zorunluluklar açıklanmak kaydıyla 


reddedilecektir. 


Kişisel verilerin saklanmasına ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler 
Lundbeck”in veri işleme amacı uyarınca belirleyeceği, mevcut iş yapış, prosedür ve 
uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar 
işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel 


verilerin işlenme amacı, ilgili mevzuat ve Lundbeck”in belirlediği süreler sona erse dahi, 
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kişisel veriler olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili 
hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla (güncellikleri teyit ve 
temin edilmeden) yeniden olağan işlenmeleri söz konusu olmamak kaydıyla 
arşivlenebilecektir. Arşivleme sürelerinin tespitinde kanuni zamanaşımı süreleri dikkate 
alınmakla beraber, Lundbeck”in kendi tecrübeleri ve benzer veri gruplarına ilişkin önceki 
talepler ışığında zamanaşımı sürelerini aşan süreler belirlenmesi mümkün olabilecektir. Bu 
durumlarda, kişisel verilere (güncellikleri ve işlenmelerine ilişkin yeni bir açık rızanın 
alınması teyit ve temin edilmeden) hukuki uyuşmazlığın çözümü dışında herhangi bir başka 
amaçla erişilmeyecektir. Arşivleme için belirlenecek süreler sonunda, arşivlenmesine karar 


verilen veriler dahi silinecek, yok edilecek ve anonim hale getirilecektir. 


Lundbeck tarafından işlenen başlıca Kişisel Veriler ve bu verilerin başlıca işleme amaçları 


aşağıdaki gibidir: 


. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ve AKTARILMASI 


Lundbeck bünyesinde, Özel Nitelikli Kişisel Veriler, yalnızca kanuni ve idari / adli mercii 
gerekliliklerinin yerine getirilmesi ve işin gereği ile doğrudan ilgili olmak kaydıyla ve erişimi 
en üst düzeyde sınırlı ve güvenli olacak şekilde işlenmektedir. Söz konusu veriler, Kanun”a 
tam bir uyum göstermek kaydıyla, (i) sağlık ve cinsel hayat dışındaki özel nitelikli kişisel 
veriler dışındaki veriler, işlemenin kanunlarda açıkça öngörülmüş olması durumunda ve (ii) 
sağlık ve cinsel hayata ilişkin veriler ise ancak, kamu sağlığının korunması, koruyucu 
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile 
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında 
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumunda Veri 
İlgilis”nin rızası aranmaksızın işlenebilir. Lundbeck Veri İlgililerine Özel Nitelikli Kişisel 
Verilerinin işlenmesine ilişkin aydınlatma yükümlüğünün gerekliliklerini yerine getirecek ve 
Veri İlgilisinin açık rızasını alacaktır. Özel nitelikli veriler sadece ilgili departman erişimine 
açık olarak saklanacak ve sınırlı olarak işlenecektir, bu bilgilere erişim yetkili kimselerce 
yapılacaktır. Çalışanlara ilişkin sağlık verileri sosyal sigorta mevzuatından kaynaklanan 
hukuki yükümlülüklerin yerine getirilebilmesi, iş sözleşmesinin kurulması ve ifası gibi 
nedenlerle ve kapsamda işlenebilir bu konuda çalışanlara gerekli bilgilendirme yapılmıştır 
ve çalışan rızaları alınmıştır. Bunun yanında ilaç mevzuatından kaynaklanan bazı 
hastalara ilişkin kişisel verilerin tutulması ve resmi kurumlara iletilmesi söz konusu olabilir 


tüm bu işlemler KVKK uyarınca yapılmakta ve erişim sınırlamasına tabi tutulmaktadır. 


KİŞİSEL VERİ İLGİLİSİNİ AYDINLATMA YÜKÜMLÜLÜĞÜ 
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Lundbeck Kişisel Verilerin elde edilmesi sırasında, verisi işlenecek olan gerçek kişileri 


bilgilendirmek ile yükümlüdür. Bu bilgilendirme yükümlülüğün kapsamı, aşağıdaki gibidir: 
- — Veri sorumlusunun ve varsa temsilcisinin kimliği, 

- Kişisel Verilerin hangi amaçla işleneceği, 

- İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği, 

- Kişisel Veri toplamanın yönetimi ve hukuki sebebi ile, 


- — Veri İlgilisinin (C) başlığı altında belirtilen hakları. 


4. ŞİKAYET SÜREÇLERİNE İLİŞKİN PROSEDÜRLER 


Kişisel Verileri Lundbeck tarafından işlenen Veri Sahipleri tarafından yapılacak şikayetler, 


en kısa süre içerisinde cevaplandırılacak ve sonuçlandırılacaktır. 


Veri Sahibi, talep ve şikayetlerini Lundbeck”e yazılı olarak ya da vveb sitesi aracılığı ile veya 
elden iletebilir. Ancak talebin sonuçlarının tebliği ve talebin yerine getirilmesinden önce 
şikayette bulunan kişinin şikayet konusu Kişisel Verinin Sahibi olup olmadığı teyit edilmeli, 
kimlik tespiti yapılması gerekmektedir. Bu çerçevede, Lundbeck ilgili çalışanları tarafından 
kimlik kontrolü yapılmak kaydıyla şahsen veya noter onaylı vekalet sunulması kaydıyla 
vekaleten yapılan başvurular, noter kanalı ile yapılan başvurular veya güvenli elektronik 
imza kullanılmak kaydıyla kayıtlı elektronik posta adresleri ile turkeydölundbeck.com 
veya İnsan Kaynakları Müdürü”nün mall adresine iletilen başvurular bakımından ayrıca 
kimlik teyidi yapılmasına gerek bulunmamaktadır. Sağlık Mesleği Mensuplarından ve 
hastalardan gelen soru ve şikayet bildirimleri Lundbeck bilim servisi tarafından 


yönetilecektir. 


E-posta ve telefon yoluyla gelen taleplerle ilgilenen tüm çalışanlar, Lundbeck tarafından 
tutulan herhangi bir kişisel bilginin açıklanması konusunda dikkəatli olmalıdır. Bahsi geçen 


çalışanlar özellikle, 


e Kişisel Verinin, kişisel veriyi almaya yönelik bir hakka sahip olan/yetkisi olan kişiye 
verildiğinden emin olmak için, çağrı yolu ile ulaşan kişinin kimliğini kontrol etmelidirler: 

e Eğer çalışanlar, arayanın kimliğinden emin olmadıkları ya da kimliklerinin kontrol 
edilemediği bir çağrı alırlarsa, arayanın talebini yazılı olarak iletmesini önermelidirler. 

e Zor durumlarda yardım için müdürlerine başvurmalıdırlar. Hiç kimse Kişisel Verinin 


açıklanması için zorlanmamalıdır. 


Bir çalışanın, yukarıdaki prosedürlere tabi olmak kaydıyla, Veri Sahiplerinden bir bildirim / 


talep alması halinde, bu durum bu bildirimin / talebin alınmasını takiben 7 (yedi) gün 
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içerisinde derhal turkey(ölundbeck.com veya İnsan Kaynakları Müdürü”nün mail 
adresine yazılı şekilde rapor edilecek ve bu taleplere cevap verilirken, söz konusu birimin 
tüm talimatlarına uygun hareket edilecektir. Söz konusu iş birimi, şikayetleri / talepleri 
çözümlemek için ilgili iş biriminden ve destek birimlerinden arkadaşlar ile bağlantı 
kuracaktır. Sağlık Mesleği Mensuplarından gelen soru ve şikayetler Lundbeck bilim 


servisi tarafından yönetilecektir. 


Veri sahibinden gelen talepler özenli bir şekilde rapor edilmeli ve gözden geçirilmeli, İnsan 
Kaynakları Müdürü tarafından, talebin niteliğini de göz önünde bulundurarak, en fazla 30 
gün içerisinde olmak şartıyla, mümkün olan en kısa sürede ve Veri Sahibine ek bir masraf 
yansıtılmaksızın söz konusu şikaöyetler yanıtlanacak ve talepler uygulanabilir olması 
halinde yerine getirilecektir. Sağlık Mesleği Mensuplarından ve hastalardan gelen soru ve 


şikayetler Lundbeck bilim servisi tarafından yönetilecektir. 


Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi dahil, her tür Veri Sahibi 


talebinin incelenmesine ilişkin takip eden süreç aşağıdaki şekilde olacaktır: 


- İnsan Kaynakları Müdürü (SMM”ler ve hastalar için Lundbeck bilim servisi), 
talebin/şikayetin geçerli olup olmadığına ve kimlik teyidi ya da ek bilginin gerekli olup 
olmadığına karar vermek için talebin ilk değerlendirmesini yapacaktır. 

- İnsan Kaynakları Müdürü (SMM”ler ve hastalar için Lundbeck bilim servisi), yazılı 
olarak birey ile bağlantı kurarak, ilgili kişi erişim talebinin alındığını teyit edecek ve 
gerektiği takdirde kimlik teyidi ve ek bilgi talep edecek ya da ilgili kişi erişimi ile ilgili bir 
istisnanın olması durumunda talebi reddedecektir. 


- Tüm ilgili elektronik ve basılı dosyalama sistemleri üzerinde bir arama düzenleyecektir. 


İnsan Kaynakları Müdürü (SMM”ler ve hastalar için Lundbeck bilim servisi), komplike 
durumları, özellikle de talebin üçüncü kişiler ile ilgili bilgiyi içerdiği ya da Kişisel Verilerin 
ifşa edilmesinin ticari gizliliğe ya da hukuki süreçlere zarar verebileceği durumları, şirket içi 
ilgili birimler ya da üçüncü kişi danışmanlara sevk edebilir ve talebin yanıtlanması 


konusunda destek alabilir. 


İnsan Kaynakları Müdürü (SMM”ler ve hastalar için Lundbeck bilim servisi), talep 


edilen bilgileri kolaylıkla okunabilir bir formatta düzenleyecektir. 


İnsan Kaynakları Müdürü (SMM”ler ve hastalar için Lundbeck bilim servisi), Veri 
Sahibinin talebini kabul edebilir ya da gerekçesini açıklayarak yazılı ya da elektronik 
ortamda reddedebilir. Bununla sınırlı olmaksızın, özellikle Kanun”un ve Politika”nın 
uygulanmasına ilişkin istisnalardan birinin söz konusu olduğu hallerde talep 
reddedilebilecektir. Eğer Veri Sahibinin talebi kabul edilirse, talep Lundbeck ilgili birimleri 


tarafından derhal yerine getirilecektir. 
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Şikayet sahibi, Lundbeck tarafından verilecek cevap ya da tespite tamamen ya da kısmen 
itiraz edebilecek ve şirketi bu konuda bilgilendirebilecektir. İlgili çalışan derhal İnsan 
Kaynakları Müdürü”ne bilgi verecektir. Böyle bir durumda, şikayet talebi yeniden 
değerlendirilecek ve nihai olarak cevaplandırılacaktır. Uygulanacak prosedür ve sürelere 
ilişkin ilk sürelere uygulanabilir prosedür ve süreler geçerli olacak olup bu durum Kanun”un 
öngördüğü sürelerin kesilmesi veya durdurulması anlamına gelmeyecektir. Zira, ikinci kez 
değerlendirmeye ilişkin talepler kanuni bir yükümlülük kapsamında değil salt müşteri 


memnuniyeti açısından yeniden değerlendirilecektir. 


Kanun uyarınca, Veri Sahibinin ilk şikayet başvurusuna yanıttan itibaren şirketin cevabını 
öğrendiği tarihten itibaren otuz ve her halde ilk başvuru tarihinden itibaren altmış gün içinde 
Kurula başvurma hakkı vardır ve söz konusu sürelere riayet edilmesi hak düşürücü 
niteliktedir. 


K. KİŞİSEL VERİLERİN KORUNMASI KURUMU İLE İLETİŞİM 


Lundbeck Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri 15 gün içinde 


göndermek ve gerektiğinde yerinde inceleme yapılmasına imkan sağlamak zorundadır. 


İnsan Kaynakları Müdürü, Kurum ile yapılacak yazışmaları gerçekleştirecek iş birimi 
olarak belirlenmiştir ve çalışanlar, Kişisel Verinin korunmasına ilişkin Kurul ile her türlü 


iletişimi İnsan Kaynakları Müdürü”ne yönlendirmelidirler. 


Lundbeck Kurufun re”sen ya da şikayet üzerine yapılan soruşturmanın sonucunda verilen 


kararlarına, gecikmesiz ve bildirimden itibaren en geç 30 gün içerisinde uyacaktır. 


Lundbeck Kişisel Verileri Koruma Kurumu nezdinde oluşturulacak başkanlık teşkilatının 
oluşumunu takiben Kurulun gözetiminde ve Kişisel Verileri Koruma Kurumu Başkanlığı 
tarafından kamuya açık olarak tutulacak Veri Sorumluları Sicil”ne, Kurul tarafından Veri 
Sorumluları Siciline kayıt zorunluluğuna getirilecek istisnalara tabi olmadıkça, kayıt 


olacaktır. 


L. POLİTİKA”NIN UYGULANMASINA İLİŞKİN İSTİSNALAR 


Kanur”un 28. Maddesi uyarınca öngörüldüğü üzere, Kanun”un uygulanmayacağı aşağıdaki 


hallerde, işbu Politika da uygulanmayacaktır: 


- Kişisel Verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere 
uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutfta 


yaşayan alle fertleriyle ilgili faaliyetler kapsamında işlenmesi, 
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Kişisel Verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama 
ve istatistik gibi amaçlarla işlenmesi: 

Kişisel Verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, 
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç 
teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade 
özgürlüğü kapsamında işlenmesi, 

Kişisel Verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya 
ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu 
kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler 
kapsamında işlenmesi, 

Kişisel Verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak 


yargı makamları veya infaz mercileri tarafından işlenmesi. 


Aydınlatma yükümlülüğü hariç olmak üzere, Veri Sahipleri aşağıdaki istisnaların birinin varlığı 


hali 


nde Kanun ve işbu Politika”da düzenlenen haklarını kullanamayacaktır: 


Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli 
olması, 

Veri Sahibinin kendisi tarafından alenileştirilmiş Kişisel Verilerin işlenmesi, 

Kişisel Veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum 
ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya 
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için 
gerekli olması, 

Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve 


mali çıkarlarının korunması için gerekli olması. 


M. İYİLEŞTİRME VE DEĞİŞİKLİKLER 
İşbu Politika, Kanun uyarınca hazırlanacak ve yürürlüğe girecek Yönetmelik ve diğer ikincil 
mevzuat uyarınca değişebilecek ve güncellenebilecektir. Lundbeck, tüm süreçlerini en kısa 
süre içerisinde Kanun ve işbu Politika”da yapılacak değişikliklere ve Kişisel Verilerin 
korunmasına ilişkin çıkarılacak ikincil mevzuata tam bir uyum içerisinde gerçekleştirmeyi 
kabul, taahhüt ve beyan etmektedir. 

SONUÇ 


Lundbeck, Kanun uyarınca tüm süreçlerini Kanun”a uygun şekilde yönetmek ve Kanun”un 
gerekliliklerini yerine getirmek amacıyla halihazırda TC Anayasası ve Türk Ceza Kanunu 


hükümleri ile kişisel veri korumasına ilişkin uluslararası genel ilkelere uyumlu süreçlerini 
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iyileştirmektedir. Bu kapsamda, tüm iş birimlerine uygulanmak üzere hazırlanan işbu genel 
Politika uyarınca, Kişisel Verilerin Lundbeck tarafından işlenme esasları ile tüm iş 
birimlerini ve çalışanlarını bağlamaktadır. Herhangi bir çalışanın, işbu Politika ve Kanun 
hakkında soruları ya da sorunları olur ise, bu konular hakkında turkey(ölundbeck.com 
veya İnsan Kaynakları Müdürü ile iletişime geçmesi gerekmektedir. Bu çerçevede, 
Kanun”un ve işbu Politika”nın gerekliliklerinin tüm çalışanlar bakımından en üst düzeyde 
anlaşıldığı teyit edilecek ve Kanun ve Politika”nın gerekliliklerinin çalışanlar nezdinde 


içselleştirilmesi temin edilecektir. 


Tüm çalışanlar, işbu Politika”nın kabul edilmesiyle birlikte, iş süreçlerinin işbu Politika”ya 
uyum gösterdiğini kabul, beyan ve taahhüt etmiş olacaktır. Herhangi bir çalışanın ya da 
diğer Veri Sahiplerine ait kişisel veriler bakımından işbu Politika”ya uyulmadığı 
düşünülüyorsa, konu turkey(ölundbeck.com veya İnsan Kaynakları Müdürü”ne 
yönlendirilecektir. 
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